すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

SCS-C02試験に合格するための模擬試験 2024年度最新版, AWS Certified Security - Specialty|SPOTO

SPOTOの2024年向けの最新模擬試験でAWS Certified Security - Specialty (SCS-C02)認定資格をマスターしましょう。この問題集は試験問題と解答、模擬試験とサンプル問題を含む包括的な試験準備への入り口です。弊社の試験問題集と無料クイズはあなたの学習教材を補充し、主要な概念の徹底的なカバーを保証します。実際の試験環境を模倣してデザインされたSPOTOの試験教材と試験シミュレーターで効果的に準備しましょう。SPOTOのオンライン試験問題集と模擬試験で、あなたの受験スキルを磨き、合格への準備を強化します。SPOTO を利用して、試験の解答を練習して、AWS Certified Security - Specialty 認定試験の合格を確実にします。
他のオンライン試験を受ける
質問 #1
ある会社では、EC2上のDocker上で動作する数百のアプリケーションがログを中央ロケーションに送信する必要があるという、フォレンジック・ロギングのユースケースがある。セキュリティ・エンジニアは、ログ・ファイルに対してリアルタイムの分析を実行し、イベントを再生する能力を付与し、データを永続化できるロギング・ソリューションを作成しなければならない。このユースケースを満たすIAMサービスはどれですか?(2つ選んでください)
A. Amazon Elasticsearch
B. アマゾン・キネシス
C. Amazon SQS
D. アマゾン・クラウドウォッチ
E. アマゾン・アテナ
回答を見る
正解: C
質問 #2
あるセキュリティ・エンジニアが、Amazon EC2 上で動作する Java アプリケーションを構築している。アプリケーションはAmazon RDSインスタンスと通信し、ユーザー名とパスワードで認証します。エンジニアは、認証情報を保護し、認証情報がローテーションされるときのダウンタイムを最小限に抑えるために、どのステップの組み合わせを取ることができますか?(2つ選んでください)
A. データベース管理者に認証情報を暗号化させ、暗号文をAmazon S3に保存させる。EC2インスタンスに関連付けられたインスタンス・ロールに、オブジェクトを読み取り、暗号文を復号化する権限を付与する。
B. IAM Systems Manager パラメータストアのクレデンシャルを更新し、アプリケーションを再起動する必要があることをエンジニアに通知するスケジュールジョブを構成する。
C. IAM Secrets Manager で資格情報の自動ローテーションを構成する。
D. IAM Systems Manager Parameter Stor の暗号化された文字列パラメータにクレデンシャルを格納する。
E. EC2インスタンスに関連付けられたインスタンス・ロールに、パラメータとそれを暗号化するために使用されるIAM KMSキーにアクセスする権限を付与する。
F. 接続の失敗を検出し、パスワードが更新されたときにIAM Secrets Managerを呼び出して更新された認証情報を取得するように、Javaアプリケーションを構成する。EC2インスタンスに関連付けられたインスタンス・ロールに、Secrets Managerにアクセスする権限を付与する。
回答を見る
正解: C
質問 #3
Amazon S3 バケットは、IAM KMS CMK を使用して暗号化されています。IAMユーザーは、IAM管理コンソールを使用してS3バケットからオブジェクトをダウンロードできません。しかし、他のユーザーはS3バケットからオブジェクトをダウンロードできます。この問題を解決するために、セキュリティエンジニアはどのポリシーを確認し、修正する必要がありますか?(3つ選択してください)
A. CMKポリシー
B. VPCエンドポイントポリシー
C. S3バケットポリシー
D. S3 ACL
E. IAMポリシー
回答を見る
正解: B
質問 #4
ある組織が、VPC内の未承認のAmazon EC2インスタンスが、VPC内の他のインスタンスに対してネットワークポートスキャンを実行した場合に、アラートを受け取りたいと考えている。セキュリティチームがIAM Marketplaceから事前に承認されたサードパーティスキャナを使用して、別のアカウントで独自の内部テストを実行すると、セキュリティチームはAmazon CloudWatchから複数のAmazon GuardDutyイベントを受信し、テスト活動に関するアラートを受け取る。セキュリティチームは、許可されたセキュリティテストに関するアラートを抑制しながら、どのようにAmazon GuardDutyイベントを受信できるでしょうか。
A. IAM CloudTrailのフィルタを使用して、セキュリティチームのEC2インスタンスのIPアドレスを除外する。
B. セキュリティチームのEC2インスタンスのElastic IPアドレスを、Amazon GuardDutyの信頼済みIPリストに追加する。
C. セキュリティチームが使用するEC2インスタンスにAmazon Inspectorエージェントをインストールする。
D. セキュリティチームのEC2インスタンスに、Amazon GuardDuty API操作を呼び出す権限を持つロールを付与する。
回答を見る
正解: BDE
質問 #5
最近開設されたIAMアカウントのルートユーザーを保護する最も安全な方法は何か。
A. IAM 管理コンソールの代わりに、IAM アカウントの root ユーザーアクセスキーを使用する。
B. AdministratorAccess 管理ポリシーがアタッチされている IAM IAM ユーザーの多要素認証を有効にする。
C. IAMアカウントrootユーザーの多要素認証を有効にする
D. IAM KMS を使用して、すべての IAM アカウントのルートユーザーと IAM IAM アクセスキーを暗号化し、自動ローテーションを 30 日に設定する。
E. 代わりに、IAM IAMユーザーを作成する。
回答を見る
正解: B
質問 #6
ある大きな政府機関がクラウドに移行しようとしており、特定の暗号化要件がある。最初に移行するワークロードでは、顧客からの要求に応じて、顧客のデータを直ちに破棄する必要がある。経営陣はセキュリティ・チームに、データを安全に保管し、許可されたアプリケーションのみが暗号化と復号化を実行でき、データを直ちに破棄できるソリューションを提供するよう要請しました。これらの要件を満たすソリューションはどれでしょうか?
A. IAM Secrets Manager と IAM SDK を使用して、顧客固有のデータに固有のシークレットを作成する。
B. IAM Key Management Service(IAM KMS)とIAM Encryption SDKを使用して、顧客ごとにデータ暗号化キーを生成して保存する。
C. IAM 鍵管理サービス(IAM KMS)とサービス管理鍵を使用して、顧客固有のデータ暗号化鍵を生成し、保存する。
D. IAM 鍵管理サービス(IAM KMS)を使用し、IAM CloudHSM カスタム鍵ストアを作成する CloudHSM を使用して、顧客ごとに新しい CMK を生成し、保存する。
回答を見る
正解: C
質問 #7
ある企業のアプリケーションはAmazon EC2上で実行され、Amazon S3バケットにデータを保存している。この企業は、データが誤って外部に公開される可能性を制限するために、追加のセキュリティ制御を導入したいと考えている。 この要件を満たすアクションの組み合わせはどれか。(3つ選んでください。)
A. Amazon S3マネージド暗号化キー(SSE-S3)を使用したサーバーサイド暗号化により、Amazon S3のデータを暗号化する。
B. IAM KMSが管理する暗号化キー(SSE-KMS)を使用したサーバーサイドの暗号化を使用して、Amazon S3のデータを暗号化する。
C. 新しいAmazon S3 VPCエンドポイントを作成し、新しいエンドポイントを使用するようにVPCのルーティングテーブルを変更します。
D. Amazon S3 Block Public Access機能を使用する。
E. アプリケーションインスタンスからのアクセスのみを許可するようにバケットポリシーを設定する
F. Amazon S3へのトラフィックをフィルタリングするためにNACLを使用します。
回答を見る
正解: C
質問 #8
ある企業は、IAMアカウントで暗号化を使用し、サーバーサイドの暗号化を使用してAmazon S3のオブジェクトを保護することにしました。オブジェクトのサイズは16.000Bから5MBまで。要件は以下の通りである:?鍵材料は、連邦情報処理標準(FIPS)140-2レベル3の認定マシンで生成され、保存されなければならない。?鍵素材は複数のリージョンで利用可能でなければならない。これらの要件を満たすオプションはどれか。
A. IAM KMS カスタマーマネージドキーを使用し、キーマテリアルを IAM に保管する。
B. IAM 顧客が管理するキーを使用し、社内の IAM CloudHS を使用して IAM KMS にキー・マテリアルをインポートする。
C. そして、Amazon S3に鍵素材を安全に保管する。
D. IAM CloudHSMクラスタによってバックアップされたIAM KMSカスタムキーストアを使用し、リージョン間でバックアップをコピーする。
E. IAM CloudHSM を使用して、キー・マテリアルを生成し、リージョン間でキーをバックアップする。 Java Cryptography Extension (JCE) および Public Key Cryptography Standards #11 (PKCS #11) 暗号化ライブラリを使用して、データを暗号化および復号化する。
回答を見る
正解: B
質問 #9
アプリケーションは現在、ネットワークアクセス制御リストとセキュリティグループを使って保護されている。Webサーバーはアプリケーションロードバランサー(ALB)の背後にあるパブリックサブネットに配置され、アプリケーションサーバーはプライベートサブネットに配置されている。Amazon EC2インスタンスを攻撃から守るために、どのようにエッジセキュリティを強化できますか。(2つ選びなさい)。
A. アプリケーションのEC2インスタンスが、すべての受信トラフィックにNATゲートウェイを使用するように構成する。
B. ウェブサーバーをパブリックIPアドレスのないプライベートサブネットに移す。
C. ALB に DDoS 攻撃防御を提供するように IAM WAF を設定する。
D. すべてのインバウンドネットワークトラフィックがプライベートサブネット内のbastionホストを経由することを要求する。
E. すべてのインバウンドおよびアウトバウンドのネットワークトラフィックがIAM Direct Connect接続を経由することを要求する。
回答を見る
正解: BC
質問 #10
ある会社は、IAMインスタンスにアクセスするために使用されるSSHコマンドを、各コマンドを実行したユーザまで追跡できるようにする必要がある。セキュリティエンジニアはこれをどのように達成すべきか?
A. インスタンスにアタッチされたセキュリティグループで、ポート22でのインバウンドアクセスを許可する。 ユーザータグが定義されたAmazon EC2インスタンスへのシェルアクセスに、IAM Systems Manager Session Managerを使用する。 Amazon CloudWatch togging tor Systems Managerセッションを有効にする。
B. Amazon S3を使用して、各ユーザーに1つのPrivacy Enhanced Mail証明書(PEMファイル)を安全に保存する。 Amazon EC2がAmazon S3から読み取り、SSHを使用してEC2インスタンスにアクセスしたいすべてのユーザーをインポートする。 インスタンスにアタッチされたセキュリティグループで、ポート22でのインバウンドアクセスを許可する。 Amazon CloudWatchエージェントをEC2インスタンスにインストールし、インスタンスの監査ログを取り込むように構成する。
C. インスタンスにアタッチされたセキュリティグループで、ポート22のインバウンドアクセスを拒否する IAM Systems Manager Session Managerを使用し、定義されたユーザタグでAmazon EC2インスタンスへのtorシェルアクセスを行う Systems ManagerセッションのAmazon CloudWatchトギングを有効にする
D. Amazon S3を使用して、チームまたはグループごとに1つのPrivacy Enhanced Mall証明書(PEM fie)を安全に保管する。 Amazon EC2がAmazon S3から読み取り、SSHを使用してEC2インスタンスにアクセスしたいすべてのユーザーをインポートする。 インスタンスにアタッチされたセキュリティグループで、ポッド22のインバウンドアクセスを許可する。 Amazon CloudWatchエージェントをEC2インスタンスにインストールし、インスタンスの監査ログを取り込むように構成する。
回答を見る
正解: AB
質問 #11
あるセキュリティエンジニアが、Amazon EC2インスタンスの侵害リスクに対処するためのインシデント対応計画を設計している。計画は、以下の要件を満たすソリューションを推奨する必要があります:?信頼できるフォレンジック環境をプロビジョニングしなければならない。自動化されたレスポンスプロセスがオーケストレーションされなければならない。{2つ選択)
A. IAM CloudFormation
B. アマゾンガードデューティ
C. アマゾン・インスペクター
D. アマゾン・マシー
E. IAMステップ機能
回答を見る
正解: C
質問 #12
ある企業は、CloudTrail を使用して、すべてのアカウントのすべてのリージョンのすべての IAM API アクティビティをログしている。CISOは、ログファイルの完全性を保護するための追加措置を講じるよう求めています。意図的または非意図的な改ざんからログファイルを保護するために、どのようなステップを組み合わせますか?以下の選択肢から回答を 2 つ選んでください:
A. ログ専用アカウントにS3バケットを作成し、他のアカウントに書き込み専用アクセスを許可する。
B. すべてのアカウントのすべてのログファイルをこのS3バケットに配信する。
C. Trusted Advisor Cloud Trailに問い合わせるLambda関数を書く。
D. 関数を10分ごとに実行する。
E. CloudTrailログファイルの整合性検証を有効にする
F. F
回答を見る
正解: D
質問 #13
あるセキュリティエンジニアが、他のホストを悪用していると報告されているEC2インスタンスIDをリストアップしたIAM Abuse Noticeを受け取った。この状況に基づいて、エンジニアが取るべき行動はどれか。(3つ選びなさい)
A. IAMアーティファクトを使用して、各インスタンスの状態を正確にキャプチャする。
B. 侵害されたインスタンスに接続されている各ボリュームのEBSスナップショットを作成します。
C. メモリダンプをキャプチャする。
D. 管理者認証情報で各インスタンスにログインし、インスタンスを再起動します。
E. フォレンジック・ワークステーションとの間を除く、すべてのネットワークの出入りを禁止する。
F. Amazon EC2の自動復旧を実行する。
回答を見る
正解: A
質問 #14
ある会社には複数の本番用IAMアカウントがある。各アカウントは、中央アカウントの単一のAmazon S3バケットにログを記録するようにIAM CloudTrailを設定している。2つの本番アカウントには、S3バケットに何もログを記録しないトレイルがあります。この問題をトラブルシューティングするには、どの手順を実行する必要がありますか?(3つ選んでください)。
A. ログファイルのプレフィックスが、ログを保存するS3バケットの名前に設定されていることを確認します。
B. S3バケットポリシーが本番IAMアカウントIDからCloudTrailへのアクセスを許可していることを確認する。
C. アカウントに新しいCloudTrail設定を作成し、アカウントのS3バケットにログを取るように設定する。
D. CloudTrailコンソールで、各トレイルがアクティブで健全であることを確認します。
E. マスターアカウントでCloudTrailのグローバル設定を開き、ストレージの場所が正しいS3バケットに設定されていることを確認します。
F. CloudTrail ConsoleでS3バケット名が正しく設定されていることを確認する。
回答を見る
正解: BCE
質問 #15
ある会社のセキュリティチームは、会社が所有するすべての IAM アカウントでグローバルに実施する必要がある IAM 構成ルールを定義した。セキュリティチームに統合されたコンプライアンス概要を提供するには、何をすべきか。
A. IAM Organizationsを使用して、IAM Configルールを適切なリージョンに制限し、Amazon CloudWatchダッシュボードを1つのIAMアカウントに統合する。
B. IAM 構成集約を使用して、ビューを 1 つの IAM アカウントに統合し、セキュリティチームにロールアクセスを提供する。
C. IAM Configルールの結果をIAM Lambda関数で統合し、Amazon SQにデータをプッシュする。
D. Amazon SNSを使用して、いくつかのメトリクスがトリガーされたときに統合し、アラートを出します。
E. Amazon GuardDuty を使用して、IAM 構成ルールのコンプライアンス ステータスからデータ結果をロードし、すべての IAM アカウントの GuardDuty 調査結果を 1 つの IAM アカウントに集約し、セキュリティ チームにロール アクセスを提供する。
回答を見る
正解: A
質問 #16
Amazon CloudWatchにカスタムメトリクスをパブリッシュするアプリケーションを作成しました。最近、アカウントでIAM変更が行われ、メトリクスが報告されなくなりました。メトリクスが配信されるようにする最も寛容なソリューションは次のうちどれですか?
A. アプリケーションで使用するIAMポリシーに、logs:putLogEventsとlogs:createLogStreamを許可するステートメントを追加する。
B. CloudWatchFullAccess 管理ポリシーを追加して、アプリケーションで使用される IAM ロールを変更する。
C. アプリケーションで使用するIAMポリシーにcloudwatch:putMetricDataを許可するステートメントを追加する。
D. アプリケーションで使用する IAM ロールに、cloudwatch
回答を見る
正解: B
質問 #17
あるセキュリティ管理者は、Amazon S3でホストされているウェブサイトを持っています。管理者には以下の要件が与えられている:ユーザーは、Amazon CloudFrontディストリビューションを使用してウェブサイトにアクセスできます。ユーザーは、Amazon S3 URLを使用してウェブサイトに直接アクセスすることはできません。これらの要件をサポートする構成はどれですか。(2つ選んでください)。
A. CloudFrontディストリビューションにオリジンアクセスアイデンティティを関連付ける。
B. プリンシパル」を実装する:S3バケットポリシーに "cloudfront
C. オリジンアクセスアイデンティティのみがバケットコンテンツにアクセスできるように、S3バケットパーミッションを変更します。
D. セキュリティグループを実装して、意図したCloudFrontディストリビューションを使用することによってのみS3バケットにアクセスできるようにします。
E. VPCエンドポイントからのみアクセスできるようにS3バケットポリシーを構成し、CloudFrontディストリビューションを指定されたVPCに配置します。
回答を見る
正解: AC
質問 #18
ある組織が、オンプレミスのデータセンターでミッションクリティカルなアプリケーションを維持しながら、非ビジネスクリティカルなアプリケーションをIAMに移行しようとしている。オンプレミスのアプリケーションは、限られた機密情報をIAMのアプリケーションと共有する必要がある。インターネットのパフォーマンスは予測できません。サイト間の継続的な接続性を最も安全に確保できる構成はどれか。
A. VPNとキャッシュ・ストレージ・ゲートウェイ
B. IAM スノーボール・エッジ
C. IAM Direct Connect経由のVPNゲートウェイ
D. IAM Direct Connect
回答を見る
正解: C
質問 #19
セキュリティエンジニアが、ある会社の IAM 組織を管理している。エンジニアは、組織単位(OU)の1つでAmazon S3のみを許可するように、IAMの使用を制限したい。エンジニアは次のSCPをOUに追加する。IAM IAM への API 呼び出しが IAM CloudTrail ログに表示される。セキュリティエンジニアはこの問題をどのように解決すべきでしょうか?
A. アカウントを新しいOUに移動し、IAM:*パーミッションを拒否する。
B. アカウントレベルですべての非S3サービスの拒否ポリシーを追加する。
C. ポリシーを次のように変更する:{"バージョン":“2012-10-17”,“Statement”:[{"Sid": "AllowS3", "Effect": "Allow", "Action": "s3:*", "Resource": "*/*?}]。
D. デフォルトのFullIAMAccess SCPを切り離す
回答を見る
正解: A
質問 #20
コンプライアンス上の理由から、ある組織はリソースの使用を3つの特定のIAMリージョンに制限している。組織は、承認されていないリージョンでリソースが起動されたときにアラートを受け取りたいと考えています。承認されていないリージョンで起動されたリソースに関するアラートを提供するアプローチは、次のうちどれですか。
A. IAM CloudTrailログの処理に基づくアラートメカニズムを開発する。
B. 未承認リージョンのバケットに保存されたオブジェクトのAmazon S3イベント通知を監視する。
C. Amazon CloudWatchのログを分析し、承認されていないリージョンでのアクティビティを確認する。
D. IAM Trusted Advisor を使用して、作成されるすべてのリソースに警告を出す。
回答を見る
正解: B
質問 #21
ある企業がAmazon Elastic Block Store(Amazon EBS)のボリュームを常に暗号化する必要がある。セキュリティ・インシデント発生時不審なインスタンスの EBS スナップショットが、分析のためにフォレンジックアカウントに共有される。 セキュリティエンジニアが不審な EBS スナップショットをフォレンジックアカウントに共有しようとすると、「スナップショットを 共有できません:スナップショットを共有できません。ModifySnapshotAttribute操作を呼び出すときにエラーが発生しました(OperationNotPermitted):EBSデフォルト・キーで暗号化されたスナップショットは共有できません。W
A. 新しいCMKを使用して宛先スナップショットを暗号化するEBSスナップショットをコピーします。
B. ポリシーを変更することによって、フォレンジック・アカウンティング・プリンシパルがCMKを使用できるようにする。
C. Amazon EC2インスタンスを作成する
D. 暗号化された疑わしいEBSボリュームを添付します。
E. 疑わしいボリュームから暗号化されていないボリュームにデータをコピーする。
F. 暗号化されていないボリュームをスナップショットする G
回答を見る
正解: D
質問 #22
新しいコンプライアンス要件のため、セキュリティ・エンジニアが、DynamoDBに格納されている企業データについて、顧客が提供した鍵による暗号化を有効にしなければならない。会社は、暗号化キーの完全な制御を保持したいと考えています。エンジニアは、コンプライアンスを達成するためにどのDynamoDB機能を使用する必要がありますか?
A. IAM Certificate Manager を使用して、証明書を要求する。
B. DynamoDBにデータをアップロードする前に、その証明書を使用してデータを暗号化する。
C. 顧客が提供するキーでS3サーバー側の暗号化を有効にする。
D. Amazon S3にデータをアップロードし、S3Copyを使用してすべてのデータをDynamoDBに移動する。
E. KMSマスター・キーを作成する
F. G
回答を見る
正解: A
質問 #23
ある企業が、IAM Service Catalog で展開する製品を設定している。経営陣は、ユーザーが製品を起動するときに、リソースを作成するために昇格したIAM権限が必要になることを懸念しています。この懸念をどのように軽減すべきでしょうか。
A. ポートフォリオの各製品にテンプレート制約を追加する。
B. ポートフォリオの各製品に発売制約を追加する。
C. ポートフォリオ内の各製品について、リソースの更新制約を定義する。
D. 製品をバッキングするIAM CloudFormalionテンプレートを更新して、サービス・ロール構成を含める。
回答を見る
正解: BDF

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.